Описание Маскируемся под виртуалку [fakevm] (1 Viewer)

Пользователи, которые просматривают: тема

Всего: 1 (пользователей: 0, гостей: 1)

Антоха

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Sosyal-Medyada-Güvende-Miyiz-940x470.jpg
Где-то в треде на форуме упоминал комментарий юзера с Хабра. Суть его была в том, что большое количество вредоносов имеет на борту функции антивиртуалки, антидебага и т.д. То есть во избежание изучения, малварь тупо не запускается на виртуальных машинах, крашится в ольке или же к примеру не отрабатывает при наличии в системе определённых процессов софта от Руссиновича. И было выдвинуто предложение, а что если эту фишку зловредов использовать против них самих же. Навтыкать фейковых процессов, ключей реестра, определённых служб в реальную систему (в общем всех признаков по которым малварь и проверяет окружающую среду в которой её запускают). Мысль понятна? В итоге комментарий потонул под грудой других коммов и развития не получил.
Сейчас наткнулся на статью в одном бложеке, где чел написал пруф-концепт подобного
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Это обычный скрипт на питоне с помощью которого можно замаскировать реальную систему под Vbox или VMware. Аверы пока не особо торопятся взять эту фичу на вооружение. Блогер упомянул лишь
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
который имеет эту функцию, а так же
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
который включает в себя и фейковые признаки наличия Olly Debugger.
Полная статья
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Не рекомендуется использовать вышеописанное на рабочей системе. Это же пруф-концепт как никак..

Кто что думает? Будет ли развитие подобной стороны защиты в АВ индустрии?

p.s. В дополнение к тексту выше -
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
 
X-Shar

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 848
Репутация
7 946
Антоха сказал(а):
Кто что думает? Будет ли развитие подобной стороны защиты в АВ индустрии
Нажмите, чтобы раскрыть...
Врядли, тогда и легальные программы могут не запуститться, да и зачем ?

Лучше развивать механизмы виртуальной среды, детект по поведению и облачный детект, это позволит наверное до 90% обнаружить вирусов, сейчас антивирусы уже не плохих успехов добились, многие по облаку достаточно неплохо обнаруживают, но нужен доступ в Интернет !
 
The First

The First

:)
Форумчанин
Регистрация
19.08.2013
Сообщения
154
Репутация
50
Очень интересная тема, так сказать последний рубеж защиты. А появилось ли что-нибудь в этом направлении для рабочей системы?
 
A

asar

Пользователь
Форумчанин
Регистрация
23.02.2019
Сообщения
13
Репутация
2
Telegram
ICQ
0
X-Shar сказал(а):
Врядли, тогда и легальные программы могут не запуститться, да и зачем ?

Лучше развивать механизмы виртуальной среды, детект по поведению и облачный детект, это позволит наверное до 90% обнаружить вирусов, сейчас антивирусы уже не плохих успехов добились, многие по облаку достаточно неплохо обнаруживают, но нужен доступ в Интернет !
Нажмите, чтобы раскрыть...
Я считаю облако не очень надежной защитой, кто отменял блэклист у малвари для блокировки различными способами, а вот что касается темы очень интересно
 
Верх Низ